Más de 350 clústeres de Kubernetes empresariales e individuales comprometidos se deben a dos configuraciones erróneas. Una empresa de seguridad nativa de la nube lo demostró recientemente.
Aqua Security identificó clústeres de Kubernetes de más de 350 organizaciones, proyectos de código abierto e individuos que eran abiertamente accesibles y desprotegidos. Este fue el resultado de varios meses de investigación por parte del equipo de investigación “Nautilus” de Aqua. Un subconjunto notable de clusters estaba asociado con grandes conglomerados y empresas Fortune 500. Al menos el 60 por ciento de estos clústeres fueron atacados y tenían una campaña activa con malware implementado y puertas traseras. Las vulnerabilidades se debieron a dos errores de configuración, lo que ilustra cómo los errores de configuración conocidos y desconocidos pueden explotarse activamente en la naturaleza y tener consecuencias catastróficas.
Las configuraciones erróneas conocidas permiten el acceso a privilegios
En la investigación, Nautilus señala una conocida mala configuración que permite el acceso anónimo con privilegios. El segundo problema menos conocido fue una mala configuración del proxy "kubectl" con indicadores que, sin saberlo, expusieron el clúster de Kubernetes a Internet. Los anfitriones afectados incluyeron organizaciones de una variedad de industrias, incluidas las de servicios financieros, aeroespacial, automotriz, industrial y de seguridad. Lo más preocupante fueron los proyectos de código abierto y los desarrolladores desprevenidos que podían confiar y descargar accidentalmente un paquete malicioso. Si se ve comprometido, uno podría desencadenar un vector de infección en la cadena de suministro de software, afectando a millones de usuarios.
Campañas en curso contra los clústeres de Kubernetes
Nautilus descubrió que alrededor del 60 por ciento de los clústeres fueron atacados activamente por criptomineros y creó el primer entorno Kubernetes Honeypot conocido para recopilar más datos sobre estos ataques y arrojar luz sobre estas campañas en curso. Los hallazgos clave incluyen que Nautilus descubrió la novedosa y altamente agresiva campaña Silentbob recientemente reportada, lo que revela el resurgimiento de TeamTNT en los clústeres de Kubernetes. Los investigadores también descubrieron una campaña de destrucción de control de acceso basado en roles (RBAC) para crear una puerta trasera oculta, así como campañas de criptominería, incluida una ejecución más amplia de la campaña Dero previamente descubierta con imágenes de contenedores adicionales, por un total de cientos de miles de extracciones.
Falta de comprensión y conciencia de los riesgos de configuraciones incorrectas.
Nautilus se puso en contacto con los propietarios de clústeres accesibles que identificaron y las respuestas también fueron preocupantes. Assaf Morag, analista senior de inteligencia de amenazas de Aqua Nautilus, explica: “Nos sorprendió que la reacción inicial fuera indiferencia. Muchos dijeron que sus clusters eran "sólo entornos de prueba o de ensayo". Sin embargo, cuando les mostramos todo el potencial de un ataque desde la perspectiva de un atacante y el impacto potencialmente devastador en sus organizaciones, todos quedaron impactados y resolvieron el problema de inmediato. Existe una clara falta de comprensión y conciencia de los riesgos de las configuraciones erróneas y su impacto”.
Proteja los clústeres de Kubernetes contra configuraciones erróneas
Nautilus recomienda aprovechar las funciones nativas de Kubernetes, como RBAC y políticas de control de acceso, para limitar los privilegios y aplicar políticas que aumenten la seguridad. Los equipos de seguridad también pueden implementar auditorías periódicas de los clústeres de Kubernetes para detectar anomalías y tomar medidas correctivas rápidas. Las herramientas de código abierto como Aqua Trivy, Aqua Tracee y Kube-Hunter pueden resultar útiles para escanear entornos de Kubernetes para detectar anomalías y vulnerabilidades y prevenir exploits en tiempo real. Al emplear estas y otras estrategias de remediación, las organizaciones pueden mejorar significativamente la seguridad de Kubernetes y garantizar que sus clústeres estén protegidos contra ataques comunes. Los resultados completos y una lista de recomendaciones de mitigación de riesgos se pueden encontrar en el blog de Aqua.
“En las manos equivocadas, el acceso al clúster de Kubernetes de una empresa puede significar el fin de la empresa. El código propietario, la propiedad intelectual, los datos de los clientes, los datos financieros, las credenciales y las claves de cifrado se encuentran entre los muchos activos sensibles en riesgo”, comenta Assaf Morag. “A medida que Kubernetes ha ganado una enorme popularidad entre las empresas en los últimos años debido a sus innegables capacidades para orquestar y gestionar aplicaciones en contenedores, las empresas están confiando a sus clústeres información y tokens altamente confidenciales. Esta investigación es una llamada de atención sobre la importancia de la seguridad de Kubernetes”.
Más en AquaSec.com
Acerca de Aqua Security Aqua Security es el mayor proveedor de seguridad nativa pura en la nube. Aqua brinda a sus clientes la libertad de innovar y acelerar su transformación digital. Aqua Platform proporciona automatización de prevención, detección y respuesta a lo largo del ciclo de vida de la aplicación para proteger la cadena de suministro, la infraestructura de la nube y las cargas de trabajo en curso, independientemente de dónde se implementen.